SENTIMENT CHE

S4M4 escribió: Para poder leer las cookies tendrías que tener acceso físico a ellas y eso sólo es posible si estás delante del ordenador que las tiene o si el ordenador está infectado con alguna backdoor que controlas. En ambos casos la culpa no es de las cookies.
Hay una tercera forma de leer las cookies: si eres tú quien las puso o controlas el servidor del dominio que las puso ya sea de forma legítima o ilegítima (y el usuario vuelve a visitarte). Si eres tú quien las puso la información que contienen ya la conoces, si has hackeado el servidor que las puso significa que la seguridad del sitio es una mierda, el sitio es cutre y la culpa no es de las cookies.

En el peor de los casos en que alguien accediera a leer mis cookies de forma ilegítima (metiéndome un virus a mi o hackeando al que las puso y esperando a que yo vuelva a visitarle) los metadatos que contengan no tienen nada de especial. Si tu banco es mínimamente normal no va a poner en ellas tu número de tarjeta, ni ninguna web decente va a guardar ahí passwords, mucho menos sin encriptar.

Sí se puede dar el caso de que el webmaster de un foro sobre cría de caracoles ponga ahí tu password, que no uses antivirus, que te bajes warez infectado y que un teenager ruso acabe haciéndose pasar por ti en forocaracoles.com.es

Luego el tema del rastreo tampoco me parece algo tan místico, es como si me conecto a Youtube y luego a Gmail, o como si visito dos blogs de El País, el proveedor perfectamente puede saberlo ya que posee ambos servicios. Lo que pasa es que la ad network de Google es inmensa. Si visitas webs fuera de "su red", no tienen forma de saberlo.
Con esto discrepo más todavía :D

Las cookies publicitarias las pone facebook, google u otros adservers más minoritarios, hoy en día muchísimas webs tienen anuncios servidos por google, el código del anuncio lee tu cookie para identificarte y así saben que has visitado elpaís, elmundo y luego un blog de una temática aprobada por dichas ad networks. O saben que has visitado cierta página de producto de cierto anunciante de su red y por eso a veces cuando navegas te "persiguen" ciertos anuncios.

Tú no puedes tracearme porque no te voy a prestar mi ordenador, porque no eres google y porque no tienes un adserver que utilicen millones de webmasters del mundo.

Lo único que puedes hacer es convencerme de que visite tu web, ponerme una cookie y saber cuántas páginas de tu sitio he leído, qué navegador tengo, qué SO y poco más, nada impresionante. Y además eso podrías hacerlo igual sin cookies y cuesta muchísimo menos trabajo.
Desde tu dominio no puedes leer cookies de otros dominios (a lo mejor si navegara usando Internet Explorer 3.0 sí :D )
Esto es totalmente imposible, una cookie es un archivo de texto plano, no puedes ejecutarla, infectarla con virus, o convertirla en backdoor. Como ya he dicho lo más normal es que no puedas ni leerla.

En los ataques de seguridad a webs que involucran cookies (XSS o cookie snooping) el problema nunca es que el usuario acepte cookies (texto plano) en su sistema.
Como mucho puedes crearte, con información robada de alguna manera, una cookie en tu sistema para hacerte pasar por mi en una web cutre con seguridad pobre, y en ningún caso sería porque yo tenga cookies en mi pc, que son inofensivas.

Aparte, al respecto de la gili-ley esa, hay una paradoja bastante estúpida: si visitas una web que te pregunta si aceptas cookies y le dices que no, la web no tiene forma de recordar tu elección si no es poniéndote una cookie para saber que has elegido que no aceptas cookies.

Sí, ha sido error mio al expresarme. Las cookies per se son inofensivas.

Ahora bien, contienen información y eso las convierte en elementos sensibles. Especialmente sensibles cuando cualquiera puede hacerse con ellas sin, necesariamente, comprometer la seguridad de un equipo o un servidor (con esto ya tendríamos acceso directo y a información más 'útil'), y no hablamos de algo más elaborado como un ARP spoofing y un MiTM, bastaría con encontrar una red wifi pública con seguridad débil y poner a escuchar un sniffer. Esto lo puede hacer cualquier imbécil. Especialmente sensibles porque, como bien dices, una mala administración, una falta de encriptado o una seguridad defectuosa de la página o del servidor hace que el control escape de tus manos y que su buena gestión no dependa de los conocimientos o medidas que uno pueda adoptar.

La información que aportan no es importante. Toda información es importante. Es un error de bulto no dar importancia a informaciones aparentemente inocuas, de hecho las grandes agencias de seguridad nacional realizan sus investigaciones analizando metadatos. Ejemplo: El sujeto llama diariamente al teléfono 777, pasado un tiempo esas llamadas se espacian en el tiempo, se acortan en duración y se incrementan las llamadas al teléfono 888. Se realiza una llamada larga al 999, desaparece el número 777 y el 888 se vuelve más regular. Sin oir ni una palabra de las conversaciones, tenemos el historial amoroso del sujeto: 777 novia, 888 amante, 999 amigo o familiar al que le cuenta la situación, lo deja con 777 y sale con 888. Reúne una buena cantidad de esos metadatos y junta un equipo de analistas y esa información que creías sin importancia se convierte en la historia de tu vida. Toda información es importante.

El averiguar que un sujeto visita la web del BBVA, sentimentche y forocaracoles.es es información suficiente para empezar. De hecho para hacer una web con código malicioso tengo información de sobra.

En el caso de google, hay sospechas fundadas de venta de esos metadatos (incluido lo que dispogan de tu historial de navegación, incluyendo inputs en buscadores) a empresas privadas y agencias de seguridad nacionales. Toda información es importante, por tanto saber salvaguardarla en la medida de lo posible también lo es. Y a mí el hecho de que vendan la mia o la de mis clientes por h o por b no me hace ni puta gracia.

Sí, son inofensivas, pero pueden ser usadas (y modificadas) con fines mailiciosos a modo de spyware.

Cualquier archivo, y recalco lo de cualquier, puede ser troyanizado. Incluso un .txt. Existe la solución del vago-tonto: encontrar programas que camuflan ejecutables en archivos inofensivos. Te va a saltar hasta la alarma del móvil. Una solución a esto sería modificar el archivo con un editor hexadecimal para burlar anti-virus, pero tendría que currárselo bastante para burlar los motores de búsqueda heurística y aún así sería difícil evitar a Kaspersky y, desde luego, a NOD32. Pero bueno, lo que buscamos no es meter un troyano, al menos no uno al uso. Puedes camuflar, sin necesidad de joiners, código en una cookie (un .bat o un .ssh); ejecutar un syscall que establezca comunicación con un servidor remoto y acceso a shellcode. A partir de ahí "hágase según arte", tienes una petición del equipo víctima, a no ser que esté detrás de un firewall corporativo no va a poner trabas en establecer la conexión. Ya, claro, para poner en marcha la cookie modificada hay que ejecutarla al menos una vez y para eso el navegador debe tener un fallo de seguridad para poder inyectar código. Casualmente hicimos hace apenas dos semanas este mismo experimento en una red privada a modo de laboratorio usando un '0-day' de Google Chrome que, por cierto, aún no han solucionado pese a que saben del fallo. Y hasta aquí puedo leer.

Sagan escribió:Superman, ¿qué navegador usas?

Mozilla Epiphany. Desde hace casi 10 años.

Eärendil escribió: En el caso de google, hay sospechas fundadas de venta de esos metadatos (incluido lo que dispogan de tu historial de navegación, incluyendo inputs en buscadores) a empresas privadas y agencias de seguridad nacionales.

No tengo ninguna duda de que Google y otros colaboran o han colaborado con la NSA en toda la movida esa del programa Prism ( http://www.washingtonpost.com/investiga ... story.html ), y si no colaboraran, estoy seguro de que la NSA tiene acceso a los datos igualmente.
Y no sólo los "profiles" creados con datos agregados (lo que comentas de "tal tipo llama al número 777... etc") o los historiales de busquedas, también los emails de Gmail, Hotmail (ahora outlook), comunicaciones de Facebook, hasta "whatsapps"...

(Además no disimules que tú seguro que trabajas para la NSA o su competencia, lo negarás como buen espía) :D

Pero no creo que vendan información a empresas privadas, Google sabe cómo sacarle rendimiento por sí misma a la información que recopilan, creo que es algo muy valioso para ellos como para compartirlo.

En cualquier caso, lo que venía a decir en un principio es que aceptar las cookies de cualquier sitio no te va a romper el ordenador.
Ni si quiera veo un gran problema en las publicitarias: si me conecto a tres páginas con adsense (el javascript que ejecuto le pide al adserver de google que me mande anuncios), Google ya sabría que he visitado esas tres páginas aunque no existieran las cookies.

Eärendil escribió: Cualquier archivo, y recalco lo de cualquier, puede ser troyanizado. Incluso un .txt (...)

Te lo compro.

Es muy interesante (y malvado) eso que explicas... si lo he entendido bien, para darle el cambiazo cookie por shell script, estás hablando de una víctima que ya era vulnerable a algún agujero de seguridad (más de uno si el navegador tiene que ejecutar el "troyano-originalmente cookie") de hecho ya tienes algún control de su equipo, puedes meterle ordenes shell en lo que antiguamente habría sido una cookie como podrías ponerlas en cualquier otra parte, aquí el tipo ya está jodido de por sí

Seductores del foro, mañana he quedado a desayunar con una chica, le recojo a la salida del trabajo (hospital). Me gustaría ir a desayunar a un sitio distinto y chulo, que no sea la típica cafetería de barrio. Alguna sugerencia? Valencia capital, of course.

La Pascuala. :D

Una orxateria d'eixes de l'Horta nord? Si encara estan obertes...
Per allò de mullar el fartó sí o sí.

Les panaderies estes fashion com la de plaça de la reina o la del començament de carrer Colom?

Lo de las panaderías fashion no es mala idea.

tronecillillon escribió:La Pascuala. :D

Si hubiera reservado hace días. En un sitio romántico, y puedes tantear si le gusta comer morcilla, ya sabes.

Para desayunar en un sitio medio elegante la idea de las panaderías boutique es buena. Un Panaria, Granier... Lo único es que según a qué hora puede estar lleno... 2-3 veces que he querido ir al Panaria de Colón no he podido sentarme.

Hay una Panaria en Porta de Mar, al lado del año Santander, creo

Si sale medio bien del curro, calle Colon y alguna panadería de esas. Gracias por los consejos. Pensaré en vosotros cuando me la pinche.

Gartenzwerg escribió:Hay una Panaria en Porta de Mar, al lado del año Santander, creo

Tu no em lliges no?

Qué horteras sois! Si quieres quedar como un señor, llévala a la cafetería del Hotel Inglés, en la terraza frente al Palacio del Marqués de dos Aguas.

O capuccino, esquina calle de la paz con plaza de la reina.

Pero el mejor sitio, la terraza del Hotel las Arenas, con vistas al mar y desayuno acojonante. Barato no es.

Fotreee ves tu a la cita.

rourevalencià escribió: Tu no em lliges no?

El principio de la calle Colon es en la plaza de toros, mamón

Gartenzwerg escribió: El principio de la calle Colon es en la plaza de toros, mamón

Una cita en la Casa de los Caramelos, juas

Sabéis de un restaurante bueno, bonito y barato en Valencia para cenar? Con barato me refiero a sobre unos 15€.

Y un italiano? Ya de paso...